6.3. 会话和令牌超时
Red Hat Single Sign-On 通过 Realm Settings 菜单中的 Tokens 选项卡包含会话、cookie 和令牌超时的控制。
令牌选项卡
| Configuration | 描述 |
|---|---|
| 默认签名算法 | 用于为域分配令牌的默认算法。
|
| 撤销刷新令牌 | ON 时,Red Hat Single Sign-On 会撤销刷新令牌,并发出客户端必须使用的另一个令牌。此操作适用于执行刷新令牌流的 OIDC 客户端。 |
| SSO 会话 Idle | 这个设置只适用于 OIDC 客户端。如果用户不活跃的时间超过这个超时时间,则用户会话会被无效。此超时值会在客户端请求身份验证或发送刷新令牌请求时重置。Red Hat Single Sign-On 在会话无效生效前为空闲超时添加时间窗口。请参见本节稍后 的备注。 |
| SSO Session Max | 用户会话过期前的最长时间。 |
| SSO 会话 Idle Remember Me | 此设置与标准 SSO 会话 Idle 配置类似,但特定于在启用了 Remember Me 的情况下进行登录。当用户在登录时点 Remember Me 时,可以指定较长的会话闲置超时。此设置是一种可选配置,如果其值不大于零,它会使用与 SSO 会话 Idle 配置相同的空闲超时。 |
| SSO Session Max Remember Me | 此设置与标准的 SSO Session Max 类似,但特定于 Remember Me 登录。当用户在登录时点击 Remember Me 时可以指定更长的会话。此设置是一种可选配置,如果其值不大于零,它会使用相同的会话寿命与 SSO Session Max 配置。
|
| 离线会话操作 | 此设置用于 离线访问。在 Red Hat Single Sign-On 撤销其离线令牌前,会话仍然闲置的时间。Red Hat Single Sign-On 在会话无效生效前为空闲超时添加时间窗口。请参见本节稍后 的备注。
|
| 离线会话 Max Limited | 此设置用于 离线访问。如果这个标记是 ON,则 Offline Session Max 都可以控制离线令牌保持活跃时间,无论用户活动是什么。如果标志为 OFF,则离线会话永远不会由 lifespan 过期;这些会话仅通过闲置而过期。激活此选项后,您可以配置 Offline Session Max (域级别上的global 选项)和 Client Offline Session Max ( 高级设置 选项卡中的特定客户端级别选项)。
|
| 离线会话最大 | 此设置用于 离线访问,它是 Red Hat Single Sign-On 吊销对应的离线令牌前的最长时间。这个选项控制离线令牌保持活跃时间的最长时间,而不考虑用户活动。 |
| 客户端离线会话 Idle | 此设置用于 离线访问。如果一个用户不活跃的时间超过这个超时时间,则离线令牌请求禁止闲置超时。此设置指定离线令牌的闲置超时与离线会话闲置超时。用户可以为每个客户端覆盖此设置。此设置是一个可选配置,当设置为零时,在离线会话 Idle 配置中使用相同的闲置超时。 |
| 客户端离线会话最大 | 此设置用于 离线访问。离线令牌过期和失效前的最长时间。此设置指定了一个比离线会话超时较短的令牌超时,但用户可针对单个客户端覆盖它。此设置是一个可选配置,当设置为零时,在 Offline Session Max 配置中使用相同的闲置超时。 |
| 客户端会话识别 | 客户端会话的闲置超时。如果用户不活跃的时间超过这个超时时间,客户端会话将无效,刷新令牌请求会禁止闲置超时。此设置永远不会影响一般的 SSO 用户会话,这是唯一的。注意 SSO 用户会话是零个或多个客户端会话的父项。为用户登录的每个客户端应用程序创建一个客户端会话。这个值应该指定比 SSO Session Idle 更短的空闲超时。用户可以在 Advanced Settings client 选项卡中覆盖单个客户端。此设置是一个可选配置,当设置为零时,在 SSO 会话 Idle 配置中使用相同的闲置超时。 |
| 客户端会话最大 | 客户端会话以及刷新令牌过期和无效前的最长时间。与上一个选项中所示,此设置永远不会影响 SSO 用户会话,并且应指定比 SSO Session Max 更短的值。用户可以在 Advanced Settings client 选项卡中覆盖单个客户端。此设置是一个可选配置,当设为零时,在 SSO Session Max 配置中使用相同的最大超时。 |
| 访问令牌 Lifespan | 当 Red Hat Single Sign-On 创建 OIDC 访问令牌时,这个值会控制令牌的生命周期。 |
| 访问令牌 Lifespan 用于 Implicit Flow | 使用 Implicit Flow,Red Hat Single Sign-On 没有提供刷新令牌。对于由 Implicit Flow 创建的访问令牌,存在单独的超时。 |
| 客户端登录超时 | 客户端必须在 OIDC 中完成授权代码流的最长时间。 |
| 登录超时 | 登录总时间必须花费。如果身份验证所需的时间超过此时间,用户必须再次启动身份验证过程。 |
| 登录操作超时 | 在验证过程中,最大时间用户可以安置在任意一个页面上。 |
| 用户初始化的操作 Lifespan | 用户操作权限过期前的最长时间。保持这个值的短,因为用户通常会快速响应自创建的操作。 |
| 默认 Admin-Initiated Action Lifespan | 管理员到期操作权限前的最大时间。保留这个值较长,以便管理员将电子邮件发送到离线用户。在发出令牌前,管理员可以覆盖默认超时。 |
| 覆盖用户初始化的操作 Lifespan | 为每个操作指定独立的超时(例如,电子邮件验证、忘记密码、用户操作和身份提供者验证)。这个值默认为在 User-Initiated Action Lifespan 上配置的值。 |
对于闲置超时,会话处于活跃状态的两分钟时间窗存在。例如,当您将超时设置为 30 分钟时,会话过期前将为 32 分钟。
对于一些情况下,集群和跨数据中心环境中需要此操作,其中令牌会在一个集群节点短时间内刷新,而其他集群节点会错误地将会话视为过期,因为它们还没有从刷新节点收到有关成功刷新节点的信息。
